<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2656.60">
<TITLE>RE: [Snort-users] Snort start up on Multiple interface</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Hi Brian,</FONT>
</P>

<P><FONT SIZE=2>The only way that I know of and the way that I use is to use multiple instances of snort with their own config files.  In my opinion this is actually the best way and gives added benefits when logging to a database and sniffing multiple segments of a network.  I would assume that the 4 interfaces you have are not all sniffing the same segment of your network, and are on multiple segments of your network.  </FONT></P>

<P><FONT SIZE=2>The real added advantage to this solution is signature tuning.  By having multiple config files you can have multiple signature lists.  One thing you will quickly find is that one signature on one segment of your network will produce many false positives while on a different segment it will produce none.  By having multiple config files you can tailor each to the segment it is watching and actually potentially increase the performance of snort by weeding out the false positives in a more controlled manner.</FONT></P>

<P><FONT SIZE=2>Shawn Truax</FONT>
<BR><FONT SIZE=2>Security Specialist</FONT>
<BR><FONT SIZE=2>Corporate Security</FONT>
<BR><FONT SIZE=2>155 University Ave.</FONT>
<BR><FONT SIZE=2>Toronto, Ontario</FONT>
<BR><FONT SIZE=2>M5H 3B7</FONT>
<BR><FONT SIZE=2>(416)327-1107</FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Brian Webster [<A HREF="mailto:bwebster@...11724......">mailto:bwebster@...11660...</A>]</FONT>
<BR><FONT SIZE=2>Sent: April 27, 2004 1:02 PM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Snort start up on Multiple interface</FONT>
</P>
<BR>

<P><FONT SIZE=2>Hi. I'm looking for a little "how-to" info to get Snort running on on a 4 port NIC. </FONT>
<BR><FONT SIZE=2>It seems as though any attempt to add reference to additional interfaces in the etc/init.d/argus file are unsuccessful. (I am using the argus installation on Redhat9.0)</FONT></P>

<P><FONT SIZE=2>I have tried comma separted values eth0,eth1,eth2,eth3. no luck.</FONT>
<BR><FONT SIZE=2>I don't really want to get multiple intances of snort running unless that is the only way. I'm just trying to get data logged from behind several switches to one machine. Has anyone got any advise ? </FONT></P>

<P><FONT SIZE=2>Brian</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: The Robotic Monkeys at ThinkGeek</FONT>
<BR><FONT SIZE=2>For a limited time only, get FREE Ground shipping on all orders of $35</FONT>
<BR><FONT SIZE=2>or more. Hurry up and shop folks, this offer expires April 30th!</FONT>
<BR><FONT SIZE=2><A HREF="http://www.thinkgeek.com/freeshipping/?cpg" TARGET="_blank">http://www.thinkgeek.com/freeshipping/?cpg</A>297</FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>